Jak pisać kod odporny na ataki: praktyczne wzorce w popularnych językach

Przez
Konrad Suwalski
-
0
19
4/5 - (1 vote)

Nawigacja:

Dlaczego odporność na ataki jest tak samo ważna jak funkcjonalność

Celem programisty nie jest wyłącznie dostarczenie działającej funkcji, ale zbudowanie systemu, który działa poprawnie również w obecności złośliwych użytkowników. Kod odporny na ataki zakłada, że każdy formularz, każde API i każdy plik wejściowy może być świadomie wykorzystywany do zniszczenia danych lub przejęcia systemu.

Błąd funkcjonalny vs podatność bezpieczeństwa

Błąd funkcjonalny pojawia się, gdy system nie robi tego, co obiecuje. Przykład: kalkulator rabatów źle liczy procent, raport pobiera nie te dane, przycisk „Usuń” nie działa. To irytuje użytkownika, ale zwykle nie prowadzi do katastrofy.

Podatność bezpieczeństwa pojawia się, gdy system robi coś więcej, niż powinien, dla użytkownika lub wejścia, dla którego nie było to przewidziane. Przykłady:

  • Formularz logowania pozwala „wstrzyknąć” fragment SQL i zalogować się bez hasła.
  • Panel administracyjny dostępny jest po samym odgadnięciu adresu URL, bez sprawdzenia uprawnień.
  • API przyjmuje dowolny JSON i bez sprawdzenia typów zapisuje go do bazy, nadpisując cudze dane.

Różnica jest zasadnicza: błąd funkcjonalny szkodzi głównie właścicielowi systemu, podatność bezpieczeństwa daje narzędzie do ataku każdemu, kto ją znajdzie i zrozumie.

Skutki podatności: od drobnych incydentów po kryzys firmy

Konsekwencje błędów bezpieczeństwa rzadko kończą się na pojedynczym incydencie. Mogą obejmować:

  • Utratę danych – masowe usunięcie lub wyciek bazy klientów, zamówień, logów.
  • Przejęcie kont – atakujący uzyskuje dostęp do kont administratorów lub wpływowych użytkowników.
  • Szkody finansowe – nieautoryzowane transakcje, chargebacki, odszkodowania.
  • Odpowiedzialność prawna – RODO/GDPR, lokalne regulacje, kary za brak należytej staranności.
  • Utrata zaufania – negatywne publikacje, rezygnacje klientów, trudny do odbudowania wizerunek.

W wielu organizacjach to programista jest pierwszą osobą, która może przerwać ten łańcuch zdarzeń, decydując jak wygląda walidacja, autoryzacja czy obsługa błędów.

Dlaczego „działa” nie oznacza „bezpieczne”

Popularny scenariusz: prosty formularz logowania w PHP lub Node, który:

  • pobiera login i hasło z formularza,
  • skleja string z zapytaniem SQL,
  • sprawdza, czy zapytanie zwróciło rekord.

Na testach wszystko wygląda poprawnie. Dla poprawnych danych użytkownik się loguje, dla niepoprawnych – nie. Funkcjonalnie jest „ok”. Wystarczy jednak, że ktoś w polu login poda ' OR '1'='1, a hasło zostawi puste, a nieprawidłowo zbudowane zapytanie zaloguje go jako pierwszego użytkownika z tabeli (często administratora). System działa, ale zachowuje się zupełnie inaczej w obliczu wrogiego wejścia.

Odporność na ataki wymusza inne podejście: kod nie jest „dobry”, jeśli przechodzi pozytywne scenariusze. Jest dobry, gdy zachowuje się poprawnie także w scenariuszach nadużyć.

Kto atakuje i dlaczego – model zagrożeń

Model zagrożeń pomaga świadomie zastanowić się, kto i po co może próbować złamać aplikację. Typowe profile to:

  • Skrypciarze (script kiddies) – osoby korzystające z gotowych narzędzi do skanowania podatności; nie znają twojego systemu, ale szukają standardowych dziur.
  • Ukierunkowani atakujący – konkurencja, nieuczciwi partnerzy, byli pracownicy; mają wiedzę o domenie i często dostęp do części systemów.
  • Atakujący automatyczni (boty) – masowe próby logowania, rejestracji, scrapingu; celem jest skala, a nie konkretny użytkownik.
  • „Ciekawscy” użytkownicy – zwykli użytkownicy, którzy „sprawdzają, co się stanie, jeśli…”; potrafią przypadkiem odkryć poważne luki.

Jeśli kod ma być odporny na ataki, musi uwzględniać wszystkie te scenariusze, a nie tylko idealnego, uczciwego użytkownika.

Kluczowe typy ataków z perspektywy programisty

Nie chodzi o to, by znać wszystkie egzotyczne wektory ataku, ale dobrze rozumieć kilka głównych kategorii, które regularnie wracają w raportach OWASP Top 10 i audytach bezpieczeństwa.

Ataki na dane: SQL/NoSQL/LDAP/command injection

Wspólnym mianownikiem tych ataków jest to, że dane użytkownika są traktowane jak kod, który baza lub system wykonuje. Najczęściej dzieje się to przez konkatenację stringów.

  • SQL injection – dane wejściowe modyfikują zapytanie SQL, np. dodając własny warunek OR 1=1 lub polecenie DROP TABLE.
  • NoSQL injection – podobny mechanizm w MongoDB, Elasticsearch i innych bazach dokumentowych; niebezpieczna jest dynamiczna interpretacja JSON lub operatorów typu $where.
  • LDAP injection – dane użytkownika są wstrzykiwane do filtrów LDAP, co umożliwia obejście filtrów autoryzacji.
  • Command injection – dane wchodzą do komendy systemowej (np. ping, tar) i pozwalają uruchomić dodatkowe polecenia.

Kluczowa obserwacja: jeśli kod składa polecenie z kawałków stringa, jest niemal zawsze zagrożony, chyba że parametry są bardzo ściśle kontrolowane.

Ataki na warstwę prezentacji: XSS, HTML injection, template injection

Warstwa prezentacji kojarzy się z „wyświetlaniem danych”, ale w nowoczesnych aplikacjach to także miejsce, gdzie dane stają się kodem JavaScript, HTML lub szablonem.

  • XSS (Cross-Site Scripting) – wstrzyknięcie złośliwego skryptu do strony, który wykonuje się w przeglądarce innych użytkowników. Może kraść ciasteczka, zmieniać treści, podszywać się pod użytkownika.
  • HTML injection – wstrzyknięcie niebezpiecznych znaczników HTML (np. dodatkowych formularzy, linków phishingowych).
  • Template injection – użycie mechanizmów szablonów (np. Twig, Handlebars, EJS) w taki sposób, że dane użytkownika są traktowane jak fragment szablonu. W niektórych silnikach pozwala to na wykonanie kodu na serwerze (RCE).

Najczęstsza przyczyna: surowe wyświetlanie danych użytkownika bez kontekstowego kodowania (np. w atrybucie HTML, w kodzie JS, w URL).

Ataki na sesję i tożsamość: CSRF, session fixation, przejęcie tokenu

System, który nie chroni sesji, umożliwia atakującemu „wejście w buty” innego użytkownika bez znajomości jego hasła.

  • CSRF (Cross-Site Request Forgery) – przeglądarka ofiary wysyła autoryzowane żądanie do aplikacji (np. zmiana hasła, przelew), ale inicjatorem jest złośliwa strona.
  • Session fixation – atakujący podsuwa ofierze znany sobie identyfikator sesji, a po zalogowaniu ofiary korzysta z tego samego ID.
  • Przejęcie tokenu – wyciek tokenu API/JWT (przez XSS, logi, referer, localStorage) pozwala na pełne przejęcie kontekstu użytkownika.

Trzon obrony to bezpieczne zarządzanie ciasteczkami, tokenami i cyklem życia sesji.

Ataki na infrastrukturę i logikę: brute force, RCE, deserialization

Programista często nie ma bezpośredniego wpływu na firewall czy WAF, ale ma ogromny wpływ na logikę aplikacji, która może wzmocnić lub osłabić infrastrukturę.

  • Brute force i brak rate limiting – wielokrotne próby logowania, resetu hasła, odgadywania kodów SMS; problem, gdy brak ograniczeń lub logowania takich prób.
  • Remote Code Execution (RCE) – funkcje, które przyjmują jako dane fragmenty kodu (np. eval, new Function(), ProcessBuilder z user input); najmocniejszy typ ataku, bo daje pełną kontrolę nad systemem.
  • Ataki deserializacji – wczytywanie niezaufanych obiektów (Java, .NET, PHP) i ich automatyczna inicjalizacja może uruchomić niebezpieczny kod w konstruktorach, getterach czy specjalnych metodach (np. __wakeup, readObject).

OWASP Top 10 jako mapa drogowa

OWASP Top 10 to praktyczna lista najważniejszych klas podatności aplikacji webowych. Nie trzeba znać każdego punktu na pamięć, ale sensowne jest, by nowe elementy architektury porównywać z tą listą: czy to, co tworzę, nie otwiera drogi do SQLi/XSS/CSRF/deserializacji?

Dla programisty to lista kontrolna: jeśli kod dotyka danych użytkownika, baz, sesji, autoryzacji lub zdalnych serwisów, zwykle któryś z punktów OWASP ma zastosowanie.

Fundamentalne zasady bezpiecznego kodu – fundament niezależny od języka

Niezależnie od tego, czy piszesz w Java, C#, Pythonie, PHP, Go czy JavaScript, pewne zasady pozostają niezmienne. Implementacja bywa inna, ale kierunek myślenia ten sam.

Never trust user input – co jest „danymi użytkownika”

Zasada „nie ufaj wejściu” brzmi banalnie, ale w praktyce wymaga bardzo szerokiego spojrzenia na to, czym jest user input. To nie tylko formularz HTML.

  • Treść z formularzy, query string, body HTTP, nagłówków HTTP.
  • JSON z zewnętrznych API (nawet „zaufanych” partnerów).
  • Pliki uploadowane przez użytkowników (PDF, CSV, obrazy).
  • Dane z kolejek (Kafka, RabbitMQ) i brokerów wiadomości.
  • Parametry konfiguracyjne przekazywane przez zmienne środowiskowe.

Jeśli nie kontrolujesz całego łańcucha powstawania danych, traktuj je jako potencjalnie złośliwe. To oznacza walidację typów, długości, zakresów i zgodności z oczekiwanym formatem.

Defense in depth – wielowarstwowa obrona

Bezpieczny system nie polega na jednym filtrze. Zakłada, że pojedyncza warstwa może zawieść, więc wprowadza kolejne bariery:

  • Walidacja po stronie klienta – dla wygody użytkownika i wczesnego feedbacku.
  • Walidacja po stronie serwera – jako główna blokada niepoprawnego wejścia.
  • Walidacja na poziomie bazy danych – typy kolumn, ograniczenia, checki, długości.
  • Walidacja w schemacie danych (JSON Schema, DTO, modele ORM).

Przykład: jeśli API przyjmuje email, to:

  • frontend sprawdza format (regex, biblioteki walidujące),
  • backend waliduje format i długość,
  • baza ma ograniczenie długości kolumny i unikalność,
  • kod zapisuje tylko dane, które przeszły wszystkie warstwy.

Nawet jeśli jedna warstwa zostanie pominięta (np. ktoś uderzy bezpośrednio w backend, obchodząc UI), inne nadal stoją na drodze.

Least privilege – minimalne uprawnienia wszędzie

Zasada najmniejszych uprawnień mówi, że każdy komponent systemu ma dokładnie te uprawnienia, których potrzebuje, ani jednego więcej.

  • Konto bazy danych używane przez aplikację nie powinno mieć prawa DROP TABLE ani ALTER, jeśli nie tworzy struktury.
  • Proces serwera aplikacyjnego nie powinien mieć praw do zapisu w katalogach systemowych.
  • Token serwis-serwis powinien pozwalać na dostęp tylko do konkretnych endpointów.

Jeśli dojdzie do SQL injection, a konto ma tylko dostęp do odczytu, to atakujący może wyciągnąć dane, ale już ich nie skasuje i nie zmieni schematu. Szkody są mniejsze.

Fail secure – co się dzieje, gdy coś idzie nie tak

Każdy komponent kiedyś zawiedzie: baza padnie, API partnera nie odpowie, cache się wyczyści. Jeśli w takiej sytuacji system wybiera „najwygodniejszą” ścieżkę, zamiast najbezpieczniejszej, powstaje luka.

  • Jeśli serwis autoryzacji jest niedostępny, lepiej tymczasowo zablokować operacje wrażliwe, niż pozwolić na nie wszystkim.
  • Jeśli weryfikacja 2FA nie powiedzie się z powodu błędu zewnętrznego serwisu SMS, lepiej wymagać ponownej próby, niż pominąć 2FA.
  • Jeśli wyjątek w walidacji danych wejściowych nie jest obsłużony, nie wolno kontynuować przetwarzania na „częściowo zwalidowanych” danych.

Fail secure oznacza: błąd skutkuje bezpiecznym stanem (często odmową operacji), a nie „akceptacją wszystkiego”.

Separacja odpowiedzialności – domena vs komunikacja i walidacja

Granica domeny: gdzie kończy się walidacja, a zaczyna logika biznesowa

Bezpieczne aplikacje bardzo wyraźnie rozdzielają trzy światy:

  • Transport – HTTP, gRPC, kolejki, pliki.
  • Warstwę kontraktów – DTO, schematy, modele wejściowe/wyjściowe.
  • Domenę – reguły biznesowe, procesy, agregaty, encje.

Walidacja bezpieczeństwa (czy mogę ufać danym) powinna odbywać się jak najbliżej granicy systemu: w kontrolerze, handlerze requestu, warstwie API. Logika domenowa powinna dostawać już odfiltrowane, sensowne dane.

Przykład w praktyce:

  • Kontroler HTTP weryfikuje, czy amount jest liczbą, mieści się w rozsądnym zakresie, nie ma nadmiarowych pól.
  • Mapper tworzy obiekt domenowy Money tylko z prawidłowych danych.
  • Metoda domenowa transferFunds zakłada, że dostaje już poprawne parametry typów – zajmuje się wyłącznie regułami biznesowymi (limity, stany kont, itp.).

Jeśli każdy poziom robi swoją część pracy, minimalizuje to miejsca, w których może pojawić się błąd bezpieczeństwa: nie trzeba wszędzie na nowo zastanawiać się, czy dane są „czyste”.

Bezpieczne logowanie i obsługa błędów

Logi są nieocenionym narzędziem przy analizie incydentów bezpieczeństwa, ale jednocześnie mogą być źródłem wycieków, jeśli zapisują zbyt wiele.

  • Nigdy nie loguj haseł ani pełnych tokenów (JWT, API keys). Wystarczy hash, skrócona forma lub identyfikator użytkownika.
  • Ogranicz dane osobowe w logach (adresy, PESEL, numery dokumentów). Zazwyczaj wystarczy ID rekordu w bazie.
  • Stosuj poziomy logowania – wyjątki walidacji wejścia to często WARN lub INFO, a nie od razu ERROR z pełnym stack trace dla każdego literowego błędu w polu formularza.

Równie istotna jest treść komunikatów błędów dla użytkownika:

  • Komunikat Invalid username or password jest bezpieczniejszy niż User not found + osobno Wrong password, bo utrudnia enumerację kont.
  • Przy błędzie bazy nie wyświetlaj surowej wiadomości z DB (z nazwą tabeli, szczegółami constraintu). Pokaż ogólny komunikat, a szczegóły zachowaj w logach dla zespołu.

Bezpieczna obsługa wyjątków zakłada, że żaden niekontrolowany wyjątek nie „przecieka” wprost do użytkownika. Globalne filtry błędów (middleware, interceptory) powinny mapować wyjątki na odpowiednie kody HTTP i neutralne komunikaty.

Projektowanie interfejsów publicznych z myślą o bezpieczeństwie

Interfejsy publiczne – API webowe, biblioteki, SDK – często żyją latami. Jeśli ich projekt ignoruje bezpieczeństwo, łatwo utrwalić niebezpieczne wzorce.

  • Wymuszaj jawne konteksty – zamiast przekazywać „goły” tekst SQL/JS, projektuj API tak, by przyjmowało parametry i gotowe struktury.
  • Unikaj funkcji typu „doEverything” – im większy zakres odpowiedzialności pojedynczej metody, tym trudniej o sensowną walidację i autoryzację.
  • Domyślaj się czego najmniej – jeśli wywołujący nie poda explicit uprawnień czy trybu działania, lepiej przyjąć tryb bezpieczny (np. read-only).

Dobrze zaprojektowany interfejs utrudnia programiście popełnienie błędu bezpieczeństwa: nie pozwala np. na wykonanie zapytania SQL inaczej niż przez bindowane parametry.

Programista pisze bezpieczny kod na laptopie podczas pracy nad cyberochroną
Źródło: Pexels | Autor: cottonbro studio

Walidacja i sanityzacja danych wejściowych – wzorce, które działają

Whitelisting zamiast blacklistingu

Najczęstszy błąd: próba „wycinania złych znaków”. Listy zakazów są zawsze krok za atakującym. Dużo skuteczniejsze jest podejście pozytywne: definiowanie dokładnie dozwolonego formatu.

  • Dla identyfikatorów używaj wzorców typu: cyfry, litery, myślnik, podkreślnik; żadnych spacji, nawiasów, znaków specjalnych.
  • Dla liczby – sprawdź typ, zakres, liczbę cyfr po przecinku (jeśli to kwota).
  • Dla dat – akceptuj wyłącznie standardowy format (np. ISO 8601), nie polegaj na parsowaniu „czegokolwiek”.

Jeśli dane wykraczają poza zdefiniowany, restrykcyjny format, odpowiedzią powinien być błąd walidacji, a nie cicha „naprawa” wejścia.

Walidacja typów i zakresów w praktyce

W silnie typowanych językach wiele problemów eliminuje się już na poziomie kompilatora, ale dane przychodzą zwykle w formie tekstu (JSON, form-data). Potrzebne są więc dwa kroki:

  1. Parsowanie i konwersja – zamiana stringa na konkretny typ (int, float, data, enum).
  2. Walidacja semantyczna – czy liczba jest większa od zera, czy data nie jest z przyszłości, czy enum ma wartość z ustalonego zbioru.

Przykład prostego wzorca w pseudo-kodzie zbliżonym do C#/Java:

public Result<Amount> parseAndValidateAmount(String input) {
    if (!input.matches("^[0-9]{1,8}(.[0-9]{1,2})?$")) {
        return Result.error("Invalid format");
    }

    BigDecimal value = new BigDecimal(input);
    if (value.compareTo(BigDecimal.ZERO) <= 0) {
        return Result.error("Amount must be positive");
    }
    if (value.compareTo(new BigDecimal("1000000")) > 0) {
        return Result.error("Amount too large");
    }

    return Result.ok(new Amount(value));
}

Podobną logikę można implementować w Pythonie, Go czy JavaScript, korzystając z bibliotek walidujących (FluentValidation, Joi, class-validator, Marshmallow i inne).

Sanityzacja vs kodowanie – dwie różne operacje

„Czyszczenie danych” bywa mylone z ich bezpiecznym wyświetlaniem. To są dwa różne problemy:

  • Sanityzacja – trwała zmiana lub odrzucenie danych, by pasowały do reguł biznesowych (np. usunięcie białych znaków na końcu, normalizacja formatu numeru telefonu).
  • Kodowanie (escaping) – tymczasowe przekształcenie danych wyjściowych przed umieszczeniem w określonym kontekście (HTML, JS, SQL), bez trwałej zmiany ich znaczenia.

Sanityzacja działa głównie przy wejściu – to część procesowania danych. Kodowanie jest operacją tuż przed wyjściem (output encoding) i jest ściśle związane z kontekstem: inaczej koduje się dane w HTML, inaczej w atrybucie, inaczej w JavaScript.

Walidacja wieloetapowa: od schematu po reguły biznesowe

W dojrzałych systemach walidacja rzadko kończy się w jednym miejscu. Typowy przepływ:

  1. Schemat transportowy (JSON Schema, OpenAPI, proto) – sprawdza, czy pola istnieją, mają właściwe typy, długości.
  2. Warstwa aplikacyjna – waliduje reguły techniczne: liczby dodatnie, poprawne formaty, brak sprzecznych pól.
  3. Domena – pilnuje reguł biznesowych: czy użytkownik może wykonać operację, czy konto ma odpowiedni status, czy limity nie są przekroczone.

Taki podział ułatwia zarówno testowanie, jak i zapewnienie bezpieczeństwa: błędy formatu nie mieszają się z błędami uprawnień czy logiki biznesowej.

Idempotencja i bezpieczeństwo operacji powtarzalnych

Niektóre ataki bazują na wielokrotnym wywołaniu tego samego endpointu (np. ataki race condition na wypłaty środków). Dobrze zaprojektowana walidacja potrafi wprowadzić mechanizmy idempotencji:

  • Wymaganie unikalnego request_id przy operacjach mutujących i odrzucanie duplikatów.
  • Sprawdzenie stanu encji przed wykonaniem operacji (np. status zamówienia musi być „NEW”, aby przejść do „PAID”).

Jeśli logika przyjmuje, że ta sama operacja może zostać wykonana kilka razy (np. z powodu retry), musi być przygotowana na odróżnienie „pierwszego” wywołania od kolejnych.

Odporność na SQL/NoSQL injection i ataki na warstwę danych

Parametryzacja zapytań jako domyślny standard

Podstawą ochrony przed SQL injection jest nieskładanie zapytań z kawałków stringów. Zapytanie powinno mieć stałą strukturę, a dane wejściowe trafiają do niego jako parametry bindowane:

// Zły wzorzec (podatny na SQLi)
String query = "SELECT * FROM users WHERE login = '" + login + "'";

// Dobry wzorzec (przygotowane zapytanie)
String query = "SELECT * FROM users WHERE login = ?";
PreparedStatement stmt = connection.prepareStatement(query);
stmt.setString(1, login);

ORM-y i query buildery zwykle wspierają parametryzację „z pudełka”, ale nadal można się „przestrzelić”, gdy użyje się surowego query(String) z doklejonymi parametrami.

Dynamika zapytań – jak ją okiełznać

Czasem struktura zapytania faktycznie zależy od użytkownika (np. sortowanie, filtrowanie). Nawet wtedy można zachować bezpieczeństwo, stosując białe listy i mapowanie:

  • Dozwolone pola sortowania umieszczaj w statycznej mapie: klucz z API → nazwa kolumny w DB.
  • Kierunek sortowania ogranicz do ASC/DESC sprawdzanych jako stałe, nie jako string wpisywany wprost w zapytanie.
  • Warunki filtrowania buduj na podstawie z góry określonych fragmentów zapytania, a wartości filtrów nadal przekazuj jako parametry.

Przykład (pseudo-kod zbliżony do TypeScript/Node.js):

const allowedSortFields = {
  "createdAt": "created_at",
  "email": "email"
} as const;

function buildUserListQuery(sortBy: string, sortDir: string) {
  const column = allowedSortFields[sortBy] ?? "created_at";
  const direction = sortDir === "desc" ? "DESC" : "ASC";

  return `SELECT * FROM users ORDER BY ${column} ${direction}`;
}

Tutaj jedyną częścią wstrzykiwaną do SQL jest nazwa kolumny i kierunek, ale obie wartości pochodzą z kontrolowanej listy, a nie z dowolnego inputu.

Ograniczanie uprawnień bazy i separacja środowisk

Nawet najlepsza parametryzacja nie zwalnia z obowiązku odpowiedniej konfiguracji samej bazy:

  • Osobne konta DB dla aplikacji, migracji, administracji – aplikacja powinna mieć minimum uprawnień.
  • Oddzielne bazy / schematy dla modułów o różnej wrażliwości danych (np. dane logowania w innym schemacie niż logi operacyjne).
  • Środowiska developerskie i testowe bez prawdziwych danych produkcyjnych; jeśli kopia prod musi być użyta, to z silną anonimizacją.

Przy udanym SQL injection szkody są wtedy ograniczone do zakresu uprawnień danego konta DB, co często czyni różnicę między incydentem a katastrofą.

Bezpieczne wzorce w NoSQL: MongoDB, Elasticsearch i inni

Brak SQL nie oznacza braku injection. W systemach NoSQL problem często dotyczy dynamicznego budowania zapytań z obiektów przekazywanych niemal 1:1 z JSON wejściowego.

  • Dla MongoDB filtr buduj z białych list pól i operatorów, nie przyjmuj całego obiektu filtrowania od klienta.
  • Ogranicz dostępne operatory – np. nie wystawiaj $where czy $regex bez dużych ograniczeń.
  • Wyszukiwanie full-text (Elasticsearch, Solr) również wymaga filtracji zapytań, by nie pozwolić na nadużywanie złożonych operatorów.

W interfejsach typu „advanced search” sensowne jest wystawienie prostszego, własnego DSL (zbioru filtrów), który aplikacja tłumaczy na zapytanie NoSQL, zamiast pozwalać na wstrzyknięcie dowolnego fragmentu oryginalnego języka zapytań.

ORM nie jest magiczną tarczą

ORMy potrafią być zarówno sprzymierzeńcem, jak i źródłem kłopotów:

  • Standardowe metody typu findById, save, where("email", email) są zwykle bezpieczne, o ile parametry są typowane.
  • Raw queries (createNativeQuery, queryRaw) wracają do problemu manualnego składania SQL-a – łatwo tu o SQLi.
  • Automatyczne eager loading może bez potrzeby wyciągać duże ilości danych, co w połączeniu z luką autoryzacji daje przecieki na masową skalę.

Bezpieczny wzorzec to stosowanie ORM-a do typowych operacji i ograniczanie surowego SQL-a do wąskich, dobrze przeanalizowanych miejsc, najlepiej z przeglądem kodu pod kątem bezpieczeństwa.

Ochrona interfejsu webowego: XSS, CSRF i manipulacja danymi w przeglądarce

Najczęściej zadawane pytania (FAQ)

Co to znaczy, że kod jest odporny na ataki?

Kod odporny na ataki zakłada, że każde wejście – formularz, API, plik, nagłówki HTTP – może być świadomie użyte przeciwko systemowi. Taki kod nie ufa danym wejściowym, tylko je waliduje, filtruje i przetwarza w kontrolowany sposób.

W praktyce oznacza to m.in.: brak konkatenacji zapytań SQL z wejściem użytkownika, kontekstowe kodowanie danych w HTML/JS, poprawne zarządzanie sesją i tokenami, sensowny model autoryzacji oraz logikę broniącą się przed nadużyciami (brute force, masowe wywołania API).

Jaka jest różnica między błędem funkcjonalnym a podatnością bezpieczeństwa?

Błąd funkcjonalny to sytuacja, w której system nie robi tego, co obiecuje użytkownikowi. Przykład: źle liczony rabat, brakujące dane w raporcie, niedziałający przycisk. To psuje doświadczenie użytkownika, ale zwykle nie daje narzędzia do ataku.

Podatność bezpieczeństwa pojawia się, gdy system robi „za dużo” dla niewłaściwej osoby lub w nieprzewidzianym kontekście. Przykłady: logowanie bez hasła dzięki SQL injection, dostęp do panelu admina bez sprawdzenia uprawnień, nadpisanie cudzych danych przez źle zaprojektowane API. Tu szkoda może być masowa i powtarzalna – każdy, kto zna lukę, może ją wykorzystać.

Jakie są najczęstsze typy ataków, na które programista musi uważać?

W codziennej pracy programisty regularnie wracają te same klasy ataków. Najczęściej są to:

  • injection (SQL, NoSQL, LDAP, command injection) – gdy dane użytkownika są traktowane jak kod lub fragment polecenia,
  • XSS, HTML injection, template injection – gdy dane trafiają bezpośrednio do HTML/JS lub szablonów,
  • CSRF, session fixation, przejęcie tokenu – ataki na sesję i tożsamość użytkownika,
  • brute force, RCE, deserialization – nadużycia logiki i niebezpieczne wykonywanie kodu.

OWASP Top 10 jest dobrą mapą tych problemów – większość realnych incydentów da się przypisać do kilku z tych kategorii.

Jak w praktyce uniknąć SQL injection i podobnych ataków na dane?

Podstawowa zasada: nie składaj zapytań z kawałków stringów zawierających dane od użytkownika. Zamiast tego używaj zapytań parametryzowanych (prepared statements) lub ORM-ów, które generują zapytania za ciebie.

Dodatkowo ogranicz uprawnienia kont bazodanowych (brak DROP/ALTER tam, gdzie niepotrzebne), waliduj typy i zakresy danych po stronie aplikacji oraz loguj nietypowe błędy zapytań. Jeśli w kodzie widzisz konkatenację SQL z wejściem, to jest to sygnał alarmowy.

Jak zabezpieczyć aplikację przed XSS i HTML injection?

Najważniejsze jest bezpieczne wyświetlanie danych. Dane od użytkownika należy kontekstowo kodować (escaping) w zależności od miejsca użycia: inaczej w treści HTML, inaczej w atrybutach, inaczej w JavaScript czy URL. Większość współczesnych frameworków (React, Angular, templating engines) pomaga, o ile nie wyłączasz mechanizmów bezpieczeństwa.

Dodatkowo: filtruj niebezpieczne fragmenty HTML (np. <script>, inline eventy) jeśli musisz przyjmować HTML, unikaj wstrzykiwania danych bezpośrednio do innerHTML i dołączenia danych użytkownika wprost do kodu JS. Jedno nieostrożne pole komentarza może pozwolić na przejęcie sesji innych użytkowników.

Jak chronić sesję i tokeny przed kradzieżą i nadużyciem?

Bezpieczna sesja opiera się na kilku elementach: ciasteczka z flagami HttpOnly i Secure, wymuszony HTTPS, regeneracja identyfikatora sesji po logowaniu oraz sensowny czas wygaśnięcia. W przypadku tokenów (np. JWT) ważne są krótkie czasy życia i bezpieczne miejsce przechowywania – nie w localStorage, jeśli aplikacja jest podatna na XSS.

Do tego dochodzi ochrona przed CSRF (tokeny anty-CSRF, nagłówek SameSite na ciasteczkach, unikanie wrażliwych akcji pod GET) oraz monitorowanie nietypowych logowań. Jeśli sesję łatwo przejąć jednym linkiem lub skryptem, cały system staje się bezużyteczny, niezależnie od siły haseł.

Jak zacząć pisać bezpieczniejszy kod w popularnych językach (PHP, Java, JavaScript, Python)?

Dobry start to trzymanie się sprawdzonych bibliotek i frameworków bezpieczeństwa dostępnych w danym ekosystemie: w PHP – PDO z prepared statements i frameworki z wbudowanym escapingiem, w Java – Spring Security, w Pythonie – Django/Flask z rozszerzeniami, w JavaScript – frameworki, które domyślnie kodują dane i unikają eval.

Następny krok to wprowadzenie standardów w zespole: zakaz konkatenacji zapytań SQL, review pod kątem XSS/CSRF, checklisty OWASP przy projektowaniu nowych endpointów. Małe, konsekwentne zmiany (np. domyślne użycie parametrów w zapytaniach, włączenie flag bezpieczeństwa w cookies) często eliminują całe klasy błędów w jednej iteracji.

Najważniejsze punkty

  • Odporność na ataki jest równorzędna z funkcjonalnością: kod ma działać poprawnie nie tylko dla uczciwego użytkownika, lecz także w obecności złośliwych, nietypowych i skrajnych danych wejściowych.
  • Błąd funkcjonalny a podatność bezpieczeństwa to dwie różne kategorie: pierwszy „tylko” psuje logikę biznesową, drugi daje atakującemu narzędzie do przejęcia danych, kont lub całego systemu.
  • Skutki luk bezpieczeństwa są kaskadowe: od utraty danych, przez przejęcie kont i straty finansowe, po konsekwencje prawne i długotrwałą utratę zaufania klientów oraz partnerów.
  • Stwierdzenie „działa” nic nie mówi o bezpieczeństwie: mechanizm logowania może poprawnie obsługiwać poprawne i błędne hasła, a jednocześnie wpuszczać każdego po prostym SQL injection.
  • Model zagrożeń wymusza inne myślenie o użytkowniku: trzeba brać pod uwagę skrypciarzy, wyspecjalizowanych atakujących, boty i „ciekawskich”, a nie wyłącznie poprawnie zachowującego się klienta.
  • Wstrzyknięcia (SQL/NoSQL/LDAP/command injection) wynikają z traktowania danych jak kodu: jeśli aplikacja składa komendy z kawałków stringów, to bez twardych ograniczeń parametrów niemal na pewno da się to wykorzystać.
  • Ataki na warstwę prezentacji (XSS, HTML injection, template injection) pokazują, że samo „wyświetlanie danych” jest niebezpieczne, gdy dane użytkownika bez filtracji zamieniają się w HTML, JavaScript lub fragment szablonu.

Polecane dla Ciebie: